Stanovisko Európskeho hospodárskeho a sociálneho výboru Oznámenie Komisie Európskemu parlamentu a Rade – Usmernenie k nariadeniu o rámci pre voľný tok iných ako osobných údajov v Európskej únii

[COM(2019) 250 final]

(2020/C 14/18)

Spravodajkyňa: Laure BATUT

Žiadosť o vypracovanie stanoviska	Európska komisia 22.7.2019
Právny základ	článok 304 Zmluvy o fungovaní Európskej únie
Príslušná sekcia	sekcia pre dopravu, energetiku, infraštruktúru a informačnú spoločnosť
Prijaté v sekcii	11.9.2019
Prijatie v pléne	25.9.2019
Plenárne zasadnutie č.	546
Výsledok hlasovania (za/proti/zdržalo sa)	162/2/6

1.   Odporúčania

1.1.

Európsky hospodársky a sociálny výbor odporúča Komisii: — jednoduchým a jasným spôsobom komunikovať o kritériách vymedzenia iných ako osobných údajov a o rozsahu pôsobnosti nariadenia, ktorým sa stanovuje rámec pre voľný tok iných ako osobných údajov, v snahe odstrániť neistotu a zvýšiť dôveru, — informovať zainteresované strany o oblastiach, v ktorých sa európske právne akty týkajúce sa údajov vzájomne prekrývajú, — podporovať voľný pohyb, a zároveň zabezpečiť, aby sa osobné údaje postupne nepovažovali za iné ako osobné údaje a aby sa zabezpečilo, že všeobecné nariadenie o ochrane údajov si zachová celý rozsah svojej pôsobnosti, aj keby to znamenalo, že sa v strednodobom horizonte obe nariadenia zlúčia, aby sa zabezpečila lepšia ochrana údajov a zabránilo ich väčšej komercializácii, — podporovať zakladanie a rozvoj celoeurópskych federácií poskytovateľov cloudových služieb, — pomôcť európskym zainteresovaným stranám vo veľmi krátkodobom horizonte používať algoritmy schopné spracúvať veľké množstvá iných ako osobných údajov na jednotnom trhu s údajmi; nabádať členské štáty, aby posilnili vzdelávanie v oblasti informačných technológií a umelej inteligencie na všetkých úrovniach (v školách, na univerzitách, v profesijnom živote), — nabádať zainteresované strany, aby konali zodpovedne, eticky a solidárne a aby zabezpečili, že samoregulácia a „mimosúdne urovnávanie“sporov nepovedie k odlišným výkladom právnych aktov, — neváhať použiť regulačné nástroje, — presadzovať sankcie za porušenie samoregulácie, — pripraviť podrobný plán na overenie toho, či vo vzťahu k podnikom existuje právna istota v rámci voľného využívania ich údajov, ako sa ustanovuje vo všeobecnom nariadení o ochrane údajov, — vyhodnotiť aktuálnu situáciu v 27 členských štátoch a zhodnotiť činnosť národných kontaktných miest 12 mesiacom po začatí ich fungovania, — riadne si plniť svoju úlohu v oblasti poskytovania informácií, komunikácie a včasného varovania, — vyzvať členské štáty, aby zainteresovaným stranám oznámili svoje kritériá „verejnej bezpečnosti“, — požiadať členské štáty, aby zverejnili miesta uchovávania neprenosných údajov, — včas prehodnotiť politiku hospodárskej súťaže s cieľom overiť, či je v súčasných podmienkach prispôsobená voľnému pohybu údajov.

2.   Úvod

2.1.

Európsky hospodársky a sociálny výbor (EHSV) berie na vedomie zámer Komisie usmerňovať podniky, ktoré sa podieľajú na prenose iných ako osobných údajov predtým, ako sa zúčastnené strany dohodnú v priebehu roku 2020 na kódexoch správania. Častý výskyt údajov zmiešaného charakteru (t. j. údaje, ktoré zahŕňajú iné ako osobné údaje a osobné údaje) môže podnikom spôsobovať neistotu, pokiaľ ide o kroky, ktoré sa majú prijať na ich ochranu. Predtým, ako sa preskúmajú body, na ktoré EHSV poukazuje, treba pripomenúť hlavné zásady platných predpisov.

2.2.

Komisia zistila, že nedostatočná konkurencieschopnosť medzi cloudovými službami v EÚ, a teda nedostatočná mobilita údajov v oligopolistickom prostredí, mala negatívny vplyv na trh s údajmi. V nariadení o voľnom toku iných ako osobných údajoch sa členské štáty vyzývajú, aby minimalizovali svoje požiadavky na lokalizáciu údajov, ako aj fragmentáciu príslušných právnych predpisov s cieľom stimulovať rast a uvoľniť inovačnú kapacitu podnikov.

2.3.

Prijatím nariadenia o voľnom toku iných ako osobných údajov, ktoré dopĺňa všeobecné nariadenie o osobných údajoch, sa v európskych právnych aktoch 21. storočia zavádza „piata sloboda pohybu“uplatňujúca sa na všetky údaje (citát: poslankyňa Európskeho parlamentu a spravodajkyňa Anna-Maria Corazza Bildt). Tento nehmotný tovar, ak ho môžeme takto nazvať, musí byť možné preniesť a spravovať všade tam, kde to jeho držitelia požadujú, a to aj pokiaľ ide o poskytovateľov hostiteľských služieb v iných krajinách, ako sú krajiny, v ktorých boli vytvorené a/alebo použité v rámci EÚ (článok 1 nariadenia o voľnom toku iných ako osobných údajov). Uľahčí sa tým situácia pre držiteľov údajov a posilní sa ich konkurenčné postavenie.

Nariadenie o voľnom toku iných ako osobných údajov

2.4.

Nariadením Európskeho parlamentu a Rady (EÚ) 2018/1807 (1) sa podporuje voľný pohyb iných ako osobných údajov v Únii s cieľom rozvíjať umelú inteligenciu, cloud computing a analýzu veľkých dát. Stanovuje sa v ňom (článok 6), že Komisia usmerňuje, podporuje a uľahčuje tvorbu samoregulačných kódexov správania na úrovni Únie hospodárskymi subjektmi, ktoré pracujú s inými ako osobnými údajmi.

2.5.

Cieľom predmetného dokumentu, ktorý je určený odborníkom v mikropodnikoch a malých a stredných podnikoch, je pomôcť porozumieť vzájomnému pôsobeniu nariadenia o voľnom toku iných ako osobných údajov a všeobecného nariadenia o ochrane údajov. Komisia si pritom pomáha množstvom názorných príkladov.

2.6.

Pripravované kódexy správania by mali byť hotové v období od novembra 2019 do mája 2020 (odôvodnenia 30 a 31, článok 6 ods. 1) a pri ich príprave sa zohľadnia názory všetkých strán. Prebiehajú dve verejné konzultácie a Komisii pomáhajú dve pracovné skupiny zložené z odborníkov: jedna pracuje na certifikácii kybernetickej bezpečnosti v cloude (CSPCERT) a druhá na prenose údajov a zmene poskytovateľov cloudových služieb (SWIPO). Ich príspevky sa týkajú infraštruktúry ako služby a softvéru ako služby. V máji 2020 Komisia navrhne podnecovať odvetvie k tomu, aby vypracovalo model zmluvných podmienok a v roku 2022 predloží Európskemu parlamentu, Rade a EHSV správu o uplatňovaní nariadenia, najmä o používaní „zložených“alebo zmiešaných údajov.

3.   Všeobecné pripomienky

3.1.

Úloha Komisie: zosúladiť nariadenie o voľnom toku iných ako osobných údajov so všeobecným nariadením o ochrane údajov.

3.1.1.

S cieľom zosúladiť uvedené dve nariadenia, ktoré sa dopĺňajú, Komisia vysvetľuje, že 1) požiadavky na lokalizáciu údajov sa odteraz zakazujú; 2) príslušné orgány majú naďalej prístup k údajom; 3) údaje sa stávajú mobilnými a môžu sa preto „prenášať“. Vo všeobecnom nariadení o ochrane údajov sa používa pojem „prenosnosť“, zatiaľ čo v nariadení o voľnom toku iných ako osobných údajov sa odkazuje na „prenos“údajov. Používatelia môžu prenášať svoje údaje z krajiny, kde boli vytvorené, a potom po zmene poskytovateľa služieb ich môžu bez (príliš veľa) obmedzení získať späť na účely ich uchovávania, spracovania alebo analýzy. Na rozdiel od „prenosnosti“, ktorá je právom dotknutých osôb, sa „prenos“uskutočňuje podľa kódexov správania, a teda v rámci samoregulačného prístupu.

3.1.2.

Tento aspekt predstavuje zásadný rozdiel medzi týmito dvoma nariadeniami, pretože jedno nariadenie je založené na záväznom práve, druhé na právne nezáväzných nástrojoch (tzv. soft law), o ktorých je známe, že ponúkajú oveľa menej záruk. Podľa samotnej Komisie väčšina súborov údajov pozostáva z osobných a zároveň iných ako osobných údajov, ktoré sú neoddeliteľne prepojené, takže ich možno považovať za „zmiešané“súbory údajov.

3.1.3.

EHSV víta toto úsilie o objasnenie, pričom nespochybňuje vybrané príklady a nemá v úmysle uvádzať iné príklady. Konštatuje však, že usmernenia Komisie určené hospodárskym subjektom sa obmedzujú na ilustráciu kontextu prostredníctvom prípadových štúdií. EHSV by chcel upozorniť Komisiu na kritické oblasti, ktoré by podľa jeho názoru mohli používateľom spôsobiť ťažkosti aj napriek usmerneniam a budúcim kódexom správania.

3.2.   Pripomenutie zásad

3.2.1.   Zásada: voľný pohyb údajov

Prekážky voľného pohybu iných ako osobných údajov nie sú ani tak zemepisné, ako skôr funkčné a/alebo súvisia s prostriedkami, ktorými disponujú podniky na používanie informačných technológií.

V nariadení o voľnom toku iných ako osobných údajov sa zakazujú požiadavky na lokalizáciu iných ako osobných údajov na danom území (článok 4). Členské štáty musia do 24 mesiacov od nadobudnutia účinnosti nariadenia (máj 2021) zrušiť všetky ustanovenia, ktoré s uvedeným nie sú v súlade.

Nariadenie umožňuje výnimky z dôvodov verejnej bezpečnosti. Členské štáty musia zverejňovať podrobné informácie o svojich požiadavkách na lokalizáciu na vnútroštátnej úrovni online. Európska komisia má možnosť predložiť pripomienky a uverejniť odkazy na webové sídla členských štátov.

3.2.2.   Výnimky z voľného pohybu údajov

—

Orgány členských štátov môžu mať prístup k prenášaným údajom: podľa nariadenia o voľnom toku iných ako osobných údajov sa zavádza postup, ktorý dozornému orgánu štátu X umožňuje získať údaje spracúvané v štáte Y. V nariadení sa stanovuje postup spolupráce medzi členskými štátmi (články 5 a 7). EHSV je však vážne znepokojený tým, že v prípade neexistencie lokalizácie by určité údaje (účtovné, finančné, zmluvné údaje atď.) mohli uniknúť dozoru orgánov členských štátov. Pripomína Komisii, aby v prípade potreby nezabudla na použitie regulačného nástroja.

—

Jednotné kontaktné miesto každého členského štátu spracuje žiadosť po porade s vnútroštátnym dozorným orgánom, ktorý rozhodne o prípustnosti žiadosti a sprístupní údaje alebo zamietne prístup. V súlade s duchom nariadenia o voľnom toku iných ako osobných údajov by mali kontaktné miesta pomáhať zainteresovaným stranám pri informovanom výbere svojich prenosov a poskytovateľov služieb v celej Únii, a to v rámci úplnej hospodárskej súťaže.

EHSV sa domnieva, že samotné usmernenia nepostačujú na odstránenie mnohých neistôt spojených s uplatňovaním tejto zásady. Odôvodnenia členských štátov, dobrá viera hospodárskych subjektov a hladké fungovanie kontaktných miest je ťažké posúdiť. Akékoľvek posúdenie v tejto oblasti bude zložité.

—

Zákaz priamych alebo nepriamych požiadaviek na lokalizáciu údajov s výnimkou prípadov, keď to odôvodňuje „verejná bezpečnosť“. EHSV sa domnieva, že pojem „verejná bezpečnosť“uvedený v nariadení je nepresný a jeho rozsah nejasný, pokiaľ ide o toky údajov a ich komercializáciu. V nariadení o voľnom toku iných ako osobných údajov sa požiadavky na lokalizáciu údajov vymedzujú ako „akákoľvek povinnosť, zákaz, podmienka, obmedzenie alebo iná požiadavka stanovená v zákonoch, iných právnych predpisoch alebo správnych opatreniach členského štátu“alebo vyplývajúce z administratívnych postupov (2), ktoré by hospodárskym subjektom ukladali povinnosť uchovávať ich na danom území v rámci Únie. Podľa Súdneho dvora Európskej únie (3) (a odôvodnenia 19 nariadenia (EÚ) 2018/1807) verejná bezpečnosť zahŕňa „tak vnútornú, ako aj vonkajšiu bezpečnosť členského štátu“a predpokladá existenciu „skutočnej a dostatočne vážnej hrozby ovplyvňujúcej jeden zo základných záujmov spoločnosti“. Táto definícia sa vzťahuje aj na genetické, biometrické a zdravotné údaje. Odpoveď členského štátu musí byť primeraná.

3.2.3.

Výbor sa domnieva, že v prípade voľného pohybu, ako aj v prípade lokalizácie údajov: — sa použité kritériá môžu vykladať rôznymi spôsobmi, — iba súd bude môcť rozhodnúť podľa individuálnych prípadov, čím sa môže narušiť nevyhnutná dôvera v obchod, najmä pokiaľ ide o citlivé údaje; spory vyplývajúce z kódexov správania by mohli viesť k ešte väčšej fragmentácii, — plynutie času na súdoch je úplne odlišné od plynutia času v digitálnom sektore a pri prenose údajov. EHSV sa domnieva, že táto neistota a zložitosť môžu odrádzať mikropodniky a MSP.

3.2.4.

EHSV vyjadruje poľutovanie nad tým, že v usmerneniach sa nehovorí nič o sporoch, ani o spôsoboch overovania toho, či členské štáty dodržiavajú kritériá verejnej bezpečnosti a ani o tom, ako by mohli byť v prípade potreby sankcionované. EHSV sa obáva, že vysvetľujúci text oznámenia nestačí na to, aby mohli mikropodniky a malé a stredné podniky (MSP) prekonať všetky úskalia právnych predpisov a že vzhľadom na neistotu nebude možné nastoliť pocit dôvery a právnej istoty, ktoré sú potrebné pre rozvoj odvetvia.

3.2.5.

EHSV uznáva, že v oznámení sa Komisii podarilo komplexne a prístupom „zhora nadol“informovať o dôsledkoch vzájomného pôsobenia uvedených dvoch nariadení. Toto oznámenie je pre mikropodniky a MSP viac než potrebné. EHSV by uvítal, keby sa činnosť národných kontaktných miest a používanie webového sídla Komisie týmito zainteresovanými stranami vyhodnotili šesť mesiacov po začatí ich fungovania, aby sa v prípade nedostatočných informácií a komunikácie mohli rýchlo prijať nápravné opatrenia.

4.   Konkrétne pripomienky

4.1.   Údaje

4.1.1.

Iné ako osobné údaje štandardne zahŕňajú všetky digitálne údaje mimo rozsahu pôsobnosti osobných údajov podľa vymedzenia vo všeobecnom nariadení o ochrane údajov. Môže ísť o obchodné údaje, údaje o presnom poľnohospodárstve, údaje o potrebách údržby priemyselných strojov, údaje o poveternostných podmienkach atď.

4.1.2.

Údaje získané subjektmi poskytujúcimi verejné služby, ako sú nemocnice, zariadenia sociálnej pomoci alebo daňové orgány, sa niekedy spracúvajú spolu s osobnými údajmi pacientov alebo daňových poplatníkov. Podniky, ktoré ich používajú, musia zabezpečiť, aby nimi nebolo možné identifikovať osoby alebo aby po svojej anonymizácii nemohli byť deanonymizované. Postupy potrebné na tento účel môžu byť pre mikropodniky alebo MSP príliš náročné na čas a náklady. Keďže obe nariadenia (všeobecné nariadenie o ochrane osobných údajov a nariadenie o voľnom toku iných ako osobných údajov) spoločne zabezpečujú voľný tok všetkých údajov v EÚ, záruky stanovené vo všeobecnom nariadení o ochrane údajov sa vzťahujú na všetky zmiešané údaje [odôvodnenie (8) a článok 2 ods. 2 nariadenia (EÚ) 2018/1807], ak sú „neoddeliteľne prepojené“. K prvému obmedzeniu voľného toku iných ako osobných údajov súvisiacich s verejnou bezpečnosťou sa teda pridáva ďalšie obmedzenie súvisiace so samotnou povahou údajov. To je podstatou oznámenia Komisie, v ktorom sa opakovane uvádza, že osobné a iné ako osobné údaje spolu úzko súvisia: „zmiešané súbory údajov predstavujú väčšinu súborov údajov“(oznámenie, bod 2.2), môžu byť „neoddeliteľne prepojené“(bod 2.2), pričom „ani podľa jedného z týchto dvoch nariadení nie sú podniky povinné oddeľovať súbory údajov“bod 2.2).

4.1.3.

Je na podniku, aby posúdil, či iné ako osobné údaje, ktoré spracúva, sú „neoddeliteľné prepojené“s osobnými údajmi, a ak áno, aby ich chránil. Príprava „out management“nie je pre podnik ľahkou úlohou. Zdá sa nemožné vypracovať všeobecnú definíciu zmiešaných údajov a skutočnosť, že sa uvedené dve nariadenia prekrývajú, pravdepodobne vedie k prekrývaniu s inými právnymi aktmi týkajúcimi sa práva na údaje, ako sú právne akty týkajúce sa duševného vlastníctva: iné ako osobné údaje sa môžu voľne šíriť, ale ak sa opätovne použijú v diele, nebudú sa už na ne vzťahovať rovnaké pravidlá. EHSV sa domnieva, že spôsob, akým rôzne právne akty navzájom spolu súvisia, bude veľmi citlivou záležitosťou. Z judikatúry už bolo zrejmé, že otázka, či existuje neoddeliteľnosť, sa musí skúmať na základe „primeraného“kritéria. EHSV poznamenáva, že nie je možné, aby Komisia vo svojom oznámení poskytla komplexný prehľad všetkých prípadov s cieľom pomôcť zainteresovaným stranám a že za súčasných okolností sú zvýhodňované veľké podniky. EHSV odporúča, aby Komisia zabezpečila, že v praxi sa osobné údaje nebudú postupne považovať za iné ako osobné údaje a aby sa zabezpečilo, že všeobecné nariadenie o ochrane údajov si zachová celý rozsah svojej pôsobnosti, aj keby to znamenalo, že sa v strednodobom horizonte obe nariadenia zlúčia, aby sa zabezpečila lepšia ochrana údajov a zabránilo ich väčšej komercializácii.

4.2.   Prenosnosť, prenos, spracúvanie a uchovávanie údajov

Podľa všeobecného nariadenia o ochrane údajov sa prenosnosť reguluje prostredníctvom nariadenia (článok 20), zatiaľ čo nariadenie o voľnom toku iných ako osobných údajov sa opiera o samoreguláciu. EHSV ľutuje, že sa tým môže vytvoriť veľká právna neistota, ktorá z dôvodu viacnásobného rizika môže penalizovať mikropodniky a MSP. EHSV sa domnieva, že ak sú iné ako osobné údaje tovarom, i keď nehmotným, môžu sa vzhľadom na ich voľný pohyb dovážať a vyvážať. V súčasnom kontexte by bolo zaujímavé viesť debatu o ich vlastníctve. V skutočnosti nie je cenný samotný údaj, ale ich množstvo. Na základe uvedeného si výbor myslí, že politika hospodárskej súťaže nemusí byť pre tento typ trhu vhodná. EHSV si kladie otázku, ako vzniknutá situácia zvýši produktivitu mikropodnikov a malých a stredných podnikov. Oznámenie Komisie im však na túto otázku nedáva odpovede.

4.3.   Poskytovatelia služieb

4.3.1.

EÚ nemá veľkých prevádzkovateľov ani „európsky“cloud, nad čím EHSV už dávno vyjadril poľutovanie. Úspory z rozsahu, o ktoré sa usiluje, sú uskutočniteľné pre veľmi veľké americké spoločnosti pôsobiace v oblasti IT a niektoré čínske spoločnosti. Dokonca aj ministerstvá členských štátov sú v pokušení dôverovať im a zveriť im správu svojich údajov (prípad Francúzska).

4.3.2.

EHSV sa domnieva, že Európania by mali vytvoriť partnerské ekosystémy a zabezpečiť prenos údajov medzi rôznymi platformami. Okrem tohto oznámenia by Komisia mohla pomôcť mikropodnikom a MSP pri rozvoji takýchto zdrojov, ako to urobila v prípade služieb všeobecného záujmu (SVZ) v rámci projektu celoeurópskej federácie cloudových služieb v roku 2018 na poskytovanie služieb všeobecného hospodárskeho a nehospodárskeho záujmu [služba na požiadanie – function as a service (FaaS)] a ako to plánuje so sieťou centier digitálnych inovácií (A network of Digital Innovation Hub, web/Komisia/DIH/január 2019).

4.4.   Bezpečnosť údajov (4)

4.4.1.

Pokiaľ ide o vnútornú úroveň, vnútroštátne hospodárske subjekty (5) overujú povahu prenášaných údajov a zabezpečujú ich. Požiadavka na lokalizáciu zodpovedala bezpečnostným pravidlám, ktoré boli overiteľné podľa vnútroštátneho práva. Napriek všeobecnému nariadeniu o ochrane údajov a nariadeniu o voľnom toku iných ako osobných údajov nie sú normy informačnej bezpečnosti v jednotlivých krajinách EÚ na rovnakej úrovni. Výbor sa domnieva, že veľmi závažné informácie k tomuto bodu by sa mali mikropodnikom a MSP, ako aj súkromným a verejným službám poskytovať prostredníctvom národných kontaktných miest a v rôznych jazykoch. Pokiaľ ide o vonkajšiu úroveň, EHSV sa domnieva, že nie je isté, či podniky z krajín mimo EÚ budú schopné dodržiavať kódexy správania a vracať údaje na základe nových prenosov na žiadosť ich držiteľov. Obáva sa tiež, že časom bude ťažké určiť, kto je za čo zodpovedný. Výbor odporúča, aby Komisia pomohla európskym zainteresovaným stranám vo veľmi krátkom čase používať algoritmy, ktoré dokážu spracúvať veľké množstvo iných ako osobných údajov na vnútornom trhu s údajmi.

4.4.2.

Otázka fyzickej lokalizácie a bezpečnosti serverov zostane záležitosťou obchodných a diplomatických rokovaní medzi krajinami. Ide o zásadnú otázku. Vzhľadom na silu veľkých počítačových spoločností a ich domovské krajiny by bolo riskantné, aby jednotlivé členské štáty rokovali samostatne, i keď je správa údajov spoločnou právomocou členských štátov a EÚ.

4.4.3.

EHSV navrhuje, aby Komisia vo svojom oznámení rozpracovala povinnosti poskytovateľov služieb týkajúce sa uchovávania iných ako osobných údajov, použitých metód, fyzických miest, plánovaného alebo povoleného času uchovávania a používania po spracovaní, keďže tieto prvky sú podmienkou ich bezpečnosti a v kontexte celosvetovej hospodárskej súťaže môžu byť pre európske podniky dôležité.

4.5.   Kódexy správania

4.5.1.

V nariadení o voľnom toku iných ako osobných údajov sa uvádza, že Komisia podporuje zainteresované strany (hlavne používateľov cloudu a poskytovateľov cloudových služieb), aby do 12 mesiacov (od mája 2019) vypracovali svoje kódexy správania. Podľa Komisie by sa pri tom mali zohľadniť osvedčené postupy, prístupy k certifikačným systémom a komunikačné plány. Pracovné skupiny útvarov SWIPO a CSPCERT poskytnú odborné poznatky.

4.5.2.

Komisia sa odvoláva na opatrenia prijaté v súvislosti so všeobecným nariadením o ochrane údajov (oznámenie, strana 23). Toto nariadenie je v súlade s odporúčaniami európskeho dozorného úradníka pre ochranu údajov (EDPS) (6), a preto môže slúžiť aj ako východiskový bod pre reguláciu voľného toku iných ako osobných údajov. Združenia, ktoré zastupujú konkrétne odvetvie, môžu vypracovať svoj vlastný kódex správania. Autori kódexu správania musia príslušným orgánom (dozornému orgánu) preukázať, že ich návrh kódexu, či už vnútroštátneho alebo nadnárodného, zodpovedá konkrétnej potrebe v danom odvetví, uľahčuje uplatňovanie nariadenia a stanovuje účinné mechanizmy na monitorovanie súladu s kódexom.

4.5.3.

Ešte pred nadobudnutím účinnosti všeobecného nariadenia o ochrane údajov hlavní poskytovatelia infraštruktúry ako služby (IaaS) a softvéru ako služby (SaaS) vypracovali svoj vlastný kódex správania, aby definovali svoje spôsoby vykonávania, a teda odstránili problematické miesta, na ktoré poukazovali odborníci (7); do toho procesu zapojili MPS, pretože usúdili, že mnohé z nich uprednostnia samocertifikáciu pred vysokými nákladmi na certifikáciu.

4.5.4.

EHSV podporuje odvetvový prístup pri nariadení o voľnom toku iných ako osobných údajov, ak sa všeobecný prístup nezdá byť vhodný pre všetkých. V rámci všeobecného nariadenia o ochrane údajov sa stanovil neúplný zoznam položiek, na ktoré sa majú kódexy vzťahovať (článok 40 ods. 2), najmä pokiaľ ide o spravodlivé a transparentné postupy, bezpečnosť prenosu údajov a urovnávanie sporov. Zainteresované strany sa vo vlastnom záujme a v záujme posilnenia dôvery spotrebiteľov v európsky prístup musia nabádať k tomu, aby sa inšpirovali týmto zoznamom a rozvíjali ducha zodpovednosti, etiky a solidarity, a to najmä prostredníctvom usmernení zohľadňujúcich umelú inteligenciu. Ide o jeden z bodov, na ktorý by chcel výbor upozorniť: odporúča Komisii, aby zabezpečila, že samoregulácia a „mimosúdne urovnávanie“sporov nepovedú k odlišným výkladom právnych aktov. Naopak, treba vynaložiť všetko úsilie na ich zosúladenie, aby sa neskôr mohli zmeniť na pravidlá, ktoré sa budú vzťahovať na každého. To by sa malo oznámiť v informačných a komunikačných plánoch Komisie.

5.   Hodnotenie

Komisia pravidelne posúdi vplyv voľného toku, uplatňovanie nariadenia, zrušenie reštriktívnych opatrení zo strany členských štátov a účinnosť kódexov správania. EHSV sa domnieva, že zástupcovia občianskej spoločnosti by mali byť v tejto súvislosti vyzvaní, aby sa vyjadrili (8). V snahe zabezpečiť, aby sa spoločnosť ako celok cítila bezpečne, a tak získala dôveru v tieto nové digitálne praktiky, Únia a členské štáty musia odstrániť nejasnosti týkajúce sa rozhodného práva, dôvernosti, uchovávania a obnovy údajov bez straty, záruky uskutočniteľnosti a dobrej viery zainteresovaných strán, ako aj finančných záruk. Neoddeliteľné prepojenie medzi osobnými a inými ako osobnými údajmi vyvoláva obavy a podiel takýchto zmiešaných súborov údajov na celkovom množstve údajov otvára podľa EHSV otázku, či je samoregulácia jediným možným riešením. Odporúča, aby sa v strednodobom horizonte pravidlá všeobecného nariadenia o ochrane údajov uplatňovali na všetky údaje a všetky pohyby údajov, s výnimkou prípadov „skutočných“iných ako osobných údajov.

---

(1)  Ú. v. EÚ L 303, 28.11.2018, s. 59.

(2)  Nariadenie (EÚ) 1807/2018, článok 3 ods. 5.

(3)  Pozri oznámenie COM(2019) 250, poznámky pod čiarou s. 13 a rozsudok v spojených veciach (C-331/16) a (C-366/16) K. proti Staatssecretaris van Veiligheid en Justitie a H. F. Belgische Staat: „42. Pokiaľ ide o pojem „verejná bezpečnosť“, z judikatúry Súdneho dvora vyplýva, že tento pojem zahŕňa súčasne vnútornú a vonkajšiu bezpečnosť členského štátu (rozsudok z 23. novembra 2010, Tsakouridis, C-145/09, EU:C:2010:708, bod 43). Vnútorná bezpečnosť môže byť dotknutá najmä priamou hrozbou pre pokoj a fyzickú bezpečnosť obyvateľstva dotknutého členského štátu (pozri v tomto zmysle rozsudok z 22. mája 2012, I, C-348/09, EU:C:2012:300, bod 28). Vonkajšia bezpečnosť môže byť ohrozená predovšetkým rizikom vážneho narušenia vonkajších vzťahov alebo mierového spolužitia národov príslušného členského štátu (pozri v tomto zmysle rozsudok z 23. novembra 2010, Tsakouridis, C-145/09, EU:C:2010:708, bod 44).“

(4)  Ú. v. EÚ C 227, 28.6.2018, s. 86.

(5)  Ú. v. EÚ C 218, 23.7.2011, s. 130.

(6)  Európsky dozorný úradník pre ochranu údajov, Európsky výbor pre ochranu údajov, Usmernenia tykajúce sa kódexov správania, 12. februára 2019, https://edpb.europa.eu/our-work-tools/our-documents/nasoki/guidelines-12019-codes-conduct-and-monitoring-bodies-under_sk.

(7)  Poskytovatelia služieb v oblasti cloudových infraštruktúr v Európe (Cloud Infrastructure Services Providers in Europe – CISPE).

(8)  Ú. v. EÚ C 487, 28.12.2016, s. 92, Ú. v. EÚ C 62, 15.2.2019, s. 292.